ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ Βρυξέλλες, 27.11.2017 C(2017) 7782 final ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ της XXX για τη συμπλήρωση της οδηγίας (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά ρυθμιστικά τεχνικά πρότυπα για την αυστηρή εξακρίβωση ταυτότητας πελάτη και τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ) EL EL
ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ 1. ΠΛΑΙΣΙΟ ΤΗΣ ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΗΣ Βάσει του άρθρου 98 παράγραφος 4 της οδηγίας (ΕΕ) 2015/2366 ανατίθεται στην Επιτροπή η εξουσία να εκδίδει, μετά την υποβολή σχεδίων προτύπων από την Ευρωπαϊκή Αρχή Τραπεζών (ΕΑΤ), και σύμφωνα με τα άρθρα 10 έως 14 του κανονισμού (ΕΕ) αριθ. 1093/2010, κατ εξουσιοδότηση πράξεις οι οποίες διευκρινίζουν τις απαιτήσεις της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, τις εξαιρέσεις από την εφαρμογή της, καθώς και τις απαιτήσεις ως προς τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας. Σύμφωνα με το άρθρο 10 παράγραφος 1 του κανονισμού (ΕΕ) αριθ. 1093/2010 σχετικά με τη σύσταση της ΕΑΤ, η Επιτροπή αποφασίζει εντός τριών μηνών από την παραλαβή των σχεδίων προτύπων αν θα εγκρίνει τα υποβληθέντα σχέδια. Η Επιτροπή μπορεί επίσης να εγκρίνει τα σχέδια προτύπων μόνον εν μέρει, ή με τροποποιήσεις, εάν το απαιτεί το συμφέρον της Ένωσης, λαμβάνοντας υπόψη την ειδική διαδικασία που προβλέπεται στα εν λόγω άρθρα. 2. ΔΙΑΒΟΥΛΕΥΣΕΙΣ ΠΡΙΝ ΑΠΟ ΤΗΝ ΕΚΔΟΣΗ ΤΗΣ ΠΡΑΞΗΣ Σύμφωνα με το άρθρο 10 παράγραφος 1 τρίτο εδάφιο του κανονισμού (ΕΕ) αριθ. 1093/2010, η ΕΑΤ πραγματοποίησε δημόσια διαβούλευση σχετικά με τα σχέδια τεχνικών προτύπων που υποβλήθηκαν στην Επιτροπή, σύμφωνα με το άρθρο 98 παράγραφος 4 της οδηγίας (ΕΕ) αριθ. 2015/2366. Στις 12 Αυγούστου 2016, αναρτήθηκε έγγραφο διαβούλευσης στον δικτυακό τόπο της ΕΑΤ και η διαβούλευση ολοκληρώθηκε στις 12 Οκτωβρίου 2016. Επιπλέον, η ΕΑΤ κάλεσε την ομάδα τραπεζικών συμφεροντούχων της, που συστάθηκε σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1093/2010, να εκθέσει τις απόψεις της επ αυτών. Μαζί με τα σχέδια τεχνικών προτύπων, η ΕΑΤ υπέβαλε έγγραφο στο οποίο εξηγούσε τον τρόπο με τον οποίο λήφθηκαν υπόψη τα αποτελέσματα των εν λόγω διαβουλεύσεων για την εκπόνηση του τελικού σχεδίου τεχνικών προτύπων που υποβλήθηκε στην Επιτροπή. Μαζί με τα σχέδια τεχνικών προτύπων, και σύμφωνα με το άρθρο 10 παράγραφος 1 τρίτο εδάφιο του κανονισμού (ΕΕ) αριθ. 1093/2010, η ΕΑΤ υπέβαλε εκτίμηση επιπτώσεων, η οποία περιλάμβανε ανάλυση του κόστους και των οφελών όσον αφορά τα σχέδια τεχνικών προτύπων που υποβλήθηκαν στην Επιτροπή. Η εν λόγω ανάλυση είναι διαθέσιμη στη διεύθυνση https://www.eba.europa.eu/documents/10180/1761863/final+draft+rts+on+sca+and+csc +under+psd2+%28eba-rts-2017-02%29.pdf, σελίδες 40-44 της δέσμης τελικών σχεδίων ρυθμιστικών τεχνικών προτύπων. 3. ΝΟΜΙΚΑ ΣΤΟΙΧΕΙΑ ΤΗΣ ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΗΣ Τα παρόντα ρυθμιστικά τεχνικά πρότυπα διευκρινίζουν τις απαιτήσεις, δυνάμει του άρθρου 98 της οδηγίας (ΕΕ) 2015/2366 (PSD2), της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, τις εξαιρέσεις από την εφαρμογή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, τις απαιτήσεις προς τις οποίες πρέπει να συμμορφώνονται τα μέτρα ασφαλείας για την προστασία της εμπιστευτικότητας και της ακεραιότητας των εξατομικευμένων διαπιστευτηρίων ασφαλείας των χρηστών υπηρεσιών πληρωμών, και τις απαιτήσεις ως προς τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας μεταξύ παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, παρόχων υπηρεσιών εκκίνησης πληρωμών, παρόχων υπηρεσιών πληροφοριών λογαριασμού, πληρωτών, δικαιούχων και άλλων παρόχων υπηρεσιών πληρωμών. EL 2 EL
Τα παρόντα ρυθμιστικά τεχνικά πρότυπα λαμβάνουν υπόψη τους διάφορους στόχους της PSD2 όπως, μεταξύ άλλων, ενίσχυση της ασφάλειας, προώθηση του ανταγωνισμού, διασφάλιση της ουδετερότητας της τεχνολογίας και του επιχειρηματικού μοντέλου, συμβολή στην ενοποίηση των πληρωμών στην ΕΕ, προστασία των καταναλωτών, διευκόλυνση της καινοτομίας και βελτίωση της διευκόλυνσης των πελατών. Τα ρυθμιστικά τεχνικά πρότυπα είναι ουδέτερα ως προς την τεχνολογία και το επιχειρηματικό μοντέλο. Τα ρυθμιστικά τεχνικά πρότυπα περιλαμβάνουν ορισμένες εξαιρέσεις όπως, μεταξύ άλλων, δύο εξαιρέσεις για τις πληρωμές εξ αποστάσεως, μία για την ανάλυση κινδύνου συναλλαγής και άλλη μία για τις πληρωμές μικρής αξίας (κάτω των 30 EUR). Περιλαμβάνουν ακόμη εξαιρέσεις για τις άυλες πληρωμές. Λαμβάνοντας υπόψη το γεγονός ότι η εξαίρεση βάσει της ανάλυσης κινδύνου συναλλαγής στηρίζεται στην παρατήρηση προκαθορισμένων ποσοστών απάτης τα οποία συνιστούν ποσοστά αναφοράς («ποσοστά αναφοράς περιπτώσεων απάτης»), είναι σκόπιμο να ελέγχεται η καταλληλότητα του/-ων μηχανισμού/-ών παρακολούθησης του επιπέδου απάτης από νόμιμο ελεγκτή, ώστε να διασφαλίζεται η αμερόληπτη αξιολόγηση της ορθότητας των δεδομένων. Τα πραγματικά επίπεδα απάτης δεν θα πρέπει να γνωστοποιούνται μόνο στις αρμόδιες αρχές, για τον σκοπό της διασφάλισης της αποτελεσματικής επιβολής των εξαιρέσεων, αλλά θα πρέπει επιπλέον να γνωστοποιούνται απευθείας στην ΕΑΤ ώστε να της δίδεται η δυνατότητα να επανεξετάζει τα ποσοστά αναφοράς περιπτώσεων απάτης στα ρυθμιστικά τεχνικά πρότυπα εντός 18 μηνών από την έναρξη ισχύος τους. Σε σχέση με την πρόταση της ΕΑΤ, η Επιτροπή πρόσθεσε μία ακόμη εξαίρεση από την αυστηρή εξακρίβωση της ταυτότητας του πελάτη, η οποία καλύπτει τις πράξεις ηλεκτρονικής πληρωμής που πραγματοποιούνται μέσω ειδικών διαδικασιών ή πρωτοκόλλων πληρωμής που χρησιμοποιούνται κατά κανόνα από εταιρείες και στο πλαίσιο των οποίων η ασφάλεια εξασφαλίζεται με άλλα μέσα πέραν της εξακρίβωσης της ταυτότητας συγκεκριμένου προσώπου. Η εν λόγω εξαίρεση εφαρμόζεται υπό την προϋπόθεση ότι οι αρμόδιες αρχές κρίνουν ότι οι συγκεκριμένες μέθοδοι πληρωμής εξασφαλίζουν το υψηλό επίπεδο ασφάλειας πληρωμών που επιδιώκει η PSD2. Λόγω της συγκεκριμένης φύσης τους, οι πληρωμές που πραγματοποιούνται με τη χρήση ανώνυμων μέσων πληρωμής δεν υπόκεινται στην υποχρέωση αυστηρής εξακρίβωσης της ταυτότητας του πελάτη. Εξυπακούεται ότι στις περιπτώσεις στις οποίες η ανωνυμία των μέσων αυτών αίρεται για συμβατικούς ή νομικούς λόγους, οι πληρωμές διέπονται από τις απαιτήσεις ασφαλείας που απορρέουν από την PSD2 και από τα παρόντα ρυθμιστικά τεχνικά πρότυπα. Τα ρυθμιστικά τεχνικά πρότυπα θεσπίζουν ακόμη απαιτήσεις σχετικά με την επικοινωνία μεταξύ παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, παρόχων υπηρεσιών πληροφοριών λογαριασμού και παρόχων υπηρεσιών εκκίνησης πληρωμών, μεταξύ των οποίων περιλαμβάνεται η υποχρέωση των παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού να παρέχουν στους παρόχους υπηρεσιών πληροφοριών λογαριασμού και στους παρόχους υπηρεσιών εκκίνησης πληρωμών τουλάχιστον μία διεπαφή πρόσβασης στις πληροφορίες λογαριασμού πληρωμών. Συνεπώς, όσον αφορά την επικοινωνία μεταξύ παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, παρόχων υπηρεσιών πληροφοριών λογαριασμού και παρόχων υπηρεσιών εκκίνησης πληρωμών, η ισχύουσα επί του παρόντος πρακτική της πρόσβασης τρίτων χωρίς ταυτοποίηση, η οποία αναφέρεται στην ιδιόλεκτο της αγοράς ως «screen scraping» (συλλογή δεδομένων οθόνης) ή, εσφαλμένα, ως «άμεση πρόσβαση», δεν θα επιτρέπεται πλέον μόλις παρέλθει η μεταβατική περίοδος που προβλέπεται στο άρθρο 115 παράγραφος 4 της PSD2 και εφαρμοστούν τα ρυθμιστικά τεχνικά πρότυπα. Τα ρυθμιστικά τεχνικά πρότυπα επιβάλλουν, πάντως, στους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού την απαίτηση της ανάπτυξης και της EL 3 EL
διατήρησης διεπαφής επικοινωνίας η οποία θα επιτρέπει στους παρόχους υπηρεσιών εκκίνησης πληρωμών, στους παρόχους υπηρεσιών πληροφοριών λογαριασμού και στους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμών με κάρτα να έχουν πρόσβαση στα δεδομένα που χρειάζονται σύμφωνα με την PSD2. Τα ρυθμιστικά τεχνικά πρότυπα εφαρμόζονται μόνο στους λογαριασμούς πληρωμών, σύμφωνα με το πεδίο εφαρμογής της PSD2. Τα ρυθμιστικά τεχνικά πρότυπα δεν καλύπτουν συνεπώς την πρόσβαση σε άλλους λογαριασμούς πέραν των λογαριασμών πληρωμών, η οποία εμπίπτει στην αρμοδιότητα των κρατών μελών. Σύμφωνα με όσα προβλέπουν τα ρυθμιστικά τεχνικά πρότυπα, σε περίπτωση που ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού αποφασίσει να χρησιμοποιήσει ειδική διεπαφή, ορίζει για την τελευταία διαφανείς κύριους δείκτες επίδοσης και στόχους παροχής υπηρεσιών. Οι εν λόγω δείκτες και στόχοι πρέπει να είναι τουλάχιστον εξίσου αυστηροί με τους προβλεπόμενους για τη διεπαφή που χρησιμοποιείται από τους χρήστες υπηρεσιών πληρωμών των παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού. Ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού δημοσιεύει επιπλέον τα δεδομένα σε τριμηνιαία βάση. Προκειμένου να εξασφαλίσει ότι ενδεχόμενη μη διαθεσιμότητα ή ανεπαρκής επίδοση της ειδικής διεπαφής δεν εμποδίζει τους παρόχους υπηρεσιών εκκίνησης πληρωμών και υπηρεσιών πληροφοριών λογαριασμού να παρέχουν τις υπηρεσίες τους στους χρήστες, και παράλληλα ότι οι διεπαφές αλληλεπίδρασης με τους χρήστες λειτουργούν χωρίς δυσκολίες και επιτρέπουν στον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού να παρέχει τις δικές του υπηρεσίες πληρωμών, η Επιτροπή επέφερε τροποποίηση στα σχέδια ρυθμιστικών τεχνικών προτύπων της ΕΑΤ εισάγοντας ένα μέτρο έκτακτης ανάγκης με τη μορφή εφεδρικού μηχανισμού ο οποίος συνίσταται στο άνοιγμα των διεπαφών αλληλεπίδρασης με τους χρήστες ως ασφαλούς διαύλου επικοινωνίας για τους παρόχους υπηρεσιών εκκίνησης πληρωμών και υπηρεσιών πληροφοριών λογαριασμού. Όταν χρησιμοποιείται το εν λόγω μέτρο έκτακτης ανάγκης, εφαρμόζονται στους παρόχους υπηρεσιών εκκίνησης πληρωμών και υπηρεσιών πληροφοριών λογαριασμού, καθώς και στις διαδικασίες ταυτοποίησης και εξακρίβωσης, οι σχετικές διατάξεις της PSD2 (άρθρα 65-67). Η χρήση του εν λόγω μέτρου πρέπει να είναι πλήρως τεκμηριωμένη και να υποβάλλεται σχετική έκθεση στις αρχές από τους οικείους παρόχους, κατόπιν αιτήματος. Στη γνωμοδότησή της με θέμα τις τροποποιήσεις της Επιτροπής, η ΕΑΤ απέρριψε τον εν λόγω εφεδρικό μηχανισμό για δύο βασικούς λόγους: ο πρώτος αφορούσε το κόστος του εφεδρικού μηχανισμού το οποίο θα επιβάρυνε τους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού επιπροσθέτως του κόστους εύρυθμης λειτουργίας των ειδικών διεπαφών ο δεύτερος αφορούσε την ανησυχία της ΕΑΤ ότι η απαίτηση για εφεδρικό μηχανισμό θα αποδυνάμωνε τα κίνητρα για την ανάπτυξη τυποποιημένων ειδικών διεπαφών, καθώς ο εφεδρικός μηχανισμός θα ήταν ήδη αρκετός από μόνος του για τη συμμόρφωση των παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού με τις απαιτήσεις της PSD2. Υπό το φως της γνωμοδότησης της ΕΑΤ, η Επιτροπή επανεξέτασε τις τροποποιήσεις της επί των ρυθμιστικών τεχνικών προτύπων, διατηρώντας τον εφεδρικό μηχανισμό ως γενική αρχή, αλλά εξουσιοδοτώντας τις εθνικές αρμόδιες αρχές να εξαιρούν τις τράπεζες από την υποχρέωση παροχής του όταν πληρούνται αυστηρές προϋποθέσεις, οι οποίες εγγυώνται ότι οι ειδικές διεπαφές διασφαλίζουν πραγματικά το άνοιγμα της αγοράς υπηρεσιών πληρωμών. Συνεπώς, οι ειδικές διεπαφές θα υποβάλλονται σε δοκιμές από τους παρόχους υπηρεσιών πληρωμών που θα τις χρησιμοποιούν, και επιπλέον θα υποβάλλονται σε προσομοιώσεις ακραίων καταστάσεων και θα παρακολουθούνται από τις αρμόδιες αρχές. Σε περίπτωση που EL 4 EL
οι ειδικές αυτές διεπαφές δεν ολοκληρώσουν με επιτυχία τα διάφορα στάδια των δοκιμών ή αποτύχουν στις προσομοιώσεις ακραίων καταστάσεων, οι πάροχοι υπηρεσιών πληρωμών θα μπορούν να χρησιμοποιούν τον μηχανισμό έκτακτης ανάγκης που προβλέπεται στα ρυθμιστικά τεχνικά πρότυπα. Για τις περιπτώσεις όπου μια ειδική διεπαφή εξαιρείται μεν από τον μηχανισμό έκτακτης ανάγκης με βάση τη διεπαφή χρήστη αλλά δεν πληροί πλέον τις απαιτήσεις για μια τέτοια εξαίρεση, ή για τις περιπτώσεις όπου ένας πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού δεν παρέχει διεπαφή που να πληροί τις απαιτήσεις της PSD2 και των ρυθμιστικών τεχνικών προτύπων, η Επιτροπή προσέθεσε διάταξη για την εξασφάλιση της επιχειρησιακής συνέχειας στην αγορά πληρωμών. Σε τέτοιες περιπτώσεις, οι αρμόδιες αρχές εγγυώνται τη μη αναστολή ή τη μη παρακώλυση των υπηρεσιών που παρέχουν οι πάροχοι υπηρεσιών εκκίνησης πληρωμών και οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού. EL 5 EL
ΚΑΤ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) /... ΤΗΣ ΕΠΙΤΡΟΠΗΣ της XXX για τη συμπλήρωση της οδηγίας (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά ρυθμιστικά τεχνικά πρότυπα για την αυστηρή εξακρίβωση ταυτότητας πελάτη και τα κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ) Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ, Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, Έχοντας υπόψη την οδηγία (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2015, σχετικά με υπηρεσίες πληρωμών στην εσωτερική αγορά, την τροποποίηση των οδηγιών 2002/65/ΕΚ, 2009/110/ΕΚ και 2013/36/ΕΕ και του κανονισμού (ΕΕ) αριθ. 1093/2010 και την κατάργηση της οδηγίας 2007/64/ΕΚ, και ιδίως το άρθρο 98 παράγραφος 4 δεύτερο εδάφιο 1, Εκτιμώντας τα ακόλουθα: (1) Οι υπηρεσίες πληρωμών που προσφέρονται ηλεκτρονικά θα πρέπει να πραγματοποιούνται με ασφάλεια, υιοθετώντας τεχνολογίες ικανές να εγγυώνται την ασφαλή εξακρίβωση της ταυτότητας του χρήστη και να μειώνουν, στον μεγαλύτερο δυνατό βαθμό, τον κίνδυνο απάτης. Η διαδικασία εξακρίβωσης θα πρέπει να περιλαμβάνει, κατά κανόνα, μηχανισμούς παρακολούθησης των συναλλαγών που θα εντοπίζουν απόπειρες χρήσης των απολεσθέντων, κλαπέντων ή υπεξαιρεθέντων εξατομικευμένων διαπιστευτηρίων ασφαλείας χρήστη υπηρεσιών πληρωμών, και επιπλέον θα πρέπει να διασφαλίζει ότι ο χρήστης υπηρεσιών πληρωμών είναι ο νόμιμος χρήστης και άρα συναινεί στη μεταφορά χρηματικών ποσών και την πρόσβαση στις πληροφορίες λογαριασμού του διά της συνήθους χρήσης των εξατομικευμένων διαπιστευτηρίων ασφαλείας. Είναι ακόμη αναγκαίο να διευκρινιστούν οι απαιτήσεις της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που θα πρέπει να εφαρμόζονται κάθε φορά που ένας πληρωτής έχει πρόσβαση στον λογαριασμό πληρωμών του διαδικτυακά, διενεργεί την έναρξη πράξης πληρωμής ηλεκτρονικά ή εκτελεί οποιαδήποτε ενέργεια, μέσω εξ αποστάσεως διαύλου, η οποία μπορεί να ενέχει κίνδυνο απάτης στον τομέα των πληρωμών ή άλλης παραβίασης, ζητώντας τη δημιουργία αναγνωριστικού κωδικού ο οποίος θα πρέπει να είναι ανθεκτικός στον κίνδυνο να πλαστογραφηθεί στο σύνολό του ή δια μέσου της δημοσιοποίησης οποιουδήποτε εκ των στοιχείων βάσει των οποίων δημιουργήθηκε. (2) Καθώς οι μέθοδοι απάτης μεταβάλλονται διαρκώς, οι απαιτήσεις της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη θα πρέπει να ευνοούν την εξεύρεση καινοτόμων τεχνικών λύσεων αντιμετώπισης των νέων απειλών για την ασφάλεια των ηλεκτρονικών πληρωμών που συνεχώς εμφανίζονται. Προκειμένου να διασφαλιστεί η αδιάλειπτη και αποτελεσματική εφαρμογή των απαιτήσεων που πρόκειται να θεσπιστούν, είναι επιπλέον σκόπιμο να απαιτείται τεκμηρίωση, περιοδική δοκιμή, 1 ΕΕ L 337 της 23.12.2015, σ. 35. EL 6 EL
αξιολόγηση και έλεγχος των μέτρων ασφαλείας για την εφαρμογή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη και των εξαιρέσεων από αυτήν, των μέτρων προστασίας της εμπιστευτικότητας και της ακεραιότητας των εξατομικευμένων διαπιστευτηρίων ασφαλείας, καθώς και των μέτρων θέσπισης κοινών και ασφαλών ανοικτών προτύπων επικοινωνίας από επιχειρησιακά ανεξάρτητους ελεγκτές με εμπειρία στην ασφάλεια των συστημάτων πληροφορικής και τις πληρωμές. Για να είναι σε θέση οι αρμόδιες αρχές να παρακολουθούν την ποιότητα της επανεξέτασης των εν λόγω μέτρων, οι αξιολογήσεις αυτές θα πρέπει να καθίστανται διαθέσιμες στις αρχές κατόπιν αιτήματός τους. (3) Καθώς ο κίνδυνος απάτης είναι μεγαλύτερος για τις πράξεις ηλεκτρονικής πληρωμής εξ αποστάσεως, είναι αναγκαία η θέσπιση πρόσθετων εγγυήσεων για την αυστηρή εξακρίβωση της ταυτότητας του πελάτη κατά τη διενέργεια των εν λόγω συναλλαγών, ώστε να διασφαλίζεται ότι τα στοιχεία συνδέουν δυναμικά τη συναλλαγή με συγκεκριμένο ποσό και δικαιούχο που καθορίζονται από τον πληρωτή κατά την έναρξη της συναλλαγής. (4) Η δυναμική σύνδεση είναι δυνατή μέσω της δημιουργίας αναγνωριστικών κωδικών η οποία διέπεται από αυστηρές απαιτήσεις ασφαλείας. Για να διατηρηθεί η τεχνολογική ουδετερότητα, δεν θα πρέπει να απαιτείται συγκεκριμένη τεχνολογία για την εφαρμογή αναγνωριστικών κωδικών. Συνεπώς, οι αναγνωριστικοί κωδικοί θα πρέπει να βασίζονται σε λύσεις όπως η δημιουργία και η επικύρωση κωδικών διέλευσης μιας χρήσης, ψηφιακών υπογραφών ή άλλων μέσων επικύρωσης που στηρίζονται στην κρυπτογράφηση τα οποία χρησιμοποιούν κλειδιά ή υλικά κρυπτογράφησης αποθηκευμένα στα στοιχεία εξακρίβωσης, υπό την προϋπόθεση ότι πληρούνται οι απαιτήσεις ασφαλείας. (5) Αναγκαία είναι η θέσπιση συγκεκριμένων απαιτήσεων για τις περιπτώσεις στις οποίες το τελικό ποσό δεν είναι γνωστό κατά τη στιγμή που ο πληρωτής διενεργεί την έναρξη πράξης ηλεκτρονικής πληρωμής εξ αποστάσεως, έτσι ώστε να διασφαλίζεται ότι η αυστηρή εξακρίβωση της ταυτότητας του πελάτη αφορά συγκεκριμένα το ανώτατο ποσό για το οποίο δίνει τη συγκατάθεσή του ο πληρωτής κατά τα προβλεπόμενα στην οδηγία (ΕΕ) 2015/2366. (6) Για να διασφαλιστεί η εφαρμογή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, είναι επιπλέον αναγκαίο να απαιτούνται επαρκή χαρακτηριστικά ασφαλείας για τα στοιχεία της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που αφορούν γνώση (στοιχείο το οποίο μόνο ο χρήστης γνωρίζει), όπως μήκος ή πολυπλοκότητα, για τα στοιχεία που αφορούν κατοχή (στοιχείο το οποίο μόνο ο χρήστης κατέχει), όπως προδιαγραφές αλγόριθμου, μήκος κλειδιού και εντροπία πληροφοριών, και για τις συσκευές και τα λογισμικά ανάγνωσης στοιχείων που αφορούν κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη (στοιχείο το οποίο ο χρήστης είναι), όπως προδιαγραφές αλγόριθμου, βιομετρικό αισθητήρα και χαρακτηριστικά προστασίας υποδειγμάτων, συγκεκριμένα δε με σκοπό τον περιορισμό του κινδύνου αποκάλυψης των στοιχείων αυτών, δημοσιοποίησής τους σε μη εξουσιοδοτημένα πρόσωπα και χρήσης τους από τα τελευταία. Είναι ακόμη αναγκαίο να θεσπιστούν απαιτήσεις που θα διασφαλίζουν την ανεξαρτησία των εν λόγω στοιχείων, έτσι ώστε η παραβίαση ενός να μην θέτει σε κίνδυνο την αξιοπιστία των υπολοίπων, συγκεκριμένα δε όταν κάποιο από τα στοιχεία αυτά χρησιμοποιείται μέσω συσκευής πολλαπλών χρήσεων, ειδικότερα συσκευής όπως η ταμπλέτα ή το κινητό τηλέφωνο που μπορούν να χρησιμοποιηθούν τόσο για να δοθεί η εντολή πραγματοποίησης της πληρωμής όσο και κατά τη διαδικασία εξακρίβωσης. EL 7 EL
(7) Οι απαιτήσεις αυστηρής εξακρίβωσης της ταυτότητας του πελάτη εφαρμόζονται στις πληρωμές των οποίων η έναρξη διενεργείται από τον πληρωτή, ανεξάρτητα από το αν ο πληρωτής είναι φυσικό πρόσωπο ή νομική οντότητα. (8) Λόγω της συγκεκριμένης φύσης τους, οι πληρωμές που πραγματοποιούνται με τη χρήση ανώνυμων μέσων πληρωμής δεν υπόκεινται στην υποχρέωση αυστηρής εξακρίβωσης της ταυτότητας του πελάτη. Στις περιπτώσεις στις οποίες η ανωνυμία των μέσων αυτών αίρεται για συμβατικούς ή νομικούς λόγους, οι πληρωμές διέπονται από τις απαιτήσεις ασφαλείας που απορρέουν από την οδηγία (ΕΕ) 2015/2366 και από τα παρόντα ρυθμιστικά τεχνικά πρότυπα. (9) Σύμφωνα με την οδηγία (ΕΕ) 2015/2366, προβλέπονται εξαιρέσεις από την αρχή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη με κριτήρια το επίπεδο κινδύνου, το ύψος του ποσού, την επανεμφάνιση της συναλλαγής και τον δίαυλο πληρωμής που χρησιμοποιήθηκε για την εκτέλεση της πράξης πληρωμής. (10) Οι ενέργειες που συνεπάγονται πρόσβαση στο υπόλοιπο και στις πρόσφατες κινήσεις του λογαριασμού πληρωμών χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών, οι επαναλαμβανόμενες πληρωμές προς τους ίδιους δικαιούχους οι οποίοι έχουν οριστεί ή επικυρωθεί παλαιότερα από τον πληρωτή μέσω της χρήσης της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, και οι πληρωμές προς και από το ίδιο φυσικό ή νομικό πρόσωπο που διατηρεί λογαριασμούς στον ίδιο πάροχο υπηρεσιών πληρωμών παρουσιάζουν κίνδυνο χαμηλού επιπέδου, επιτρέποντας έτσι στους παρόχους υπηρεσιών πληρωμών να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη. Βεβαίως, οι πάροχοι υπηρεσιών εκκίνησης πληρωμών, οι πάροχοι υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμών με κάρτα και οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού θα πρέπει, σύμφωνα με τα άρθρα 65, 66 και 67 της οδηγίας (ΕΕ) 2015/2366, να ζητούν και να λαμβάνουν από τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης μόνο τις αναγκαίες και ουσιώδεις πληροφορίες λογαριασμού για την παροχή δεδομένης υπηρεσίας πληρωμής με τη συγκατάθεση του χρήστη υπηρεσιών πληρωμών. Η εν λόγω συγκατάθεση είναι δυνατό να δίδεται μεμονωμένα για κάθε αίτημα παροχής πληροφοριών ή για κάθε πληρωμή της οποίας πρόκειται να διενεργηθεί η έναρξη ή, για τους παρόχους υπηρεσιών πληροφοριών λογαριασμού, ως εντολή για καθορισμένους λογαριασμούς πληρωμών και τις συναφείς πράξεις πληρωμής κατά τα οριζόμενα στη συμβατική συμφωνία με τον χρήστη υπηρεσιών πληρωμών. (11) Τυχόν εξαιρέσεις για ανέπαφες πληρωμές μικρής αξίας σε σημεία πώλησης, οι οποίες λαμβάνουν επίσης υπόψη έναν μέγιστο αριθμό διαδοχικών συναλλαγών ή συγκεκριμένη καθορισμένη μέγιστη αξία διαδοχικών συναλλαγών, χωρίς να εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, επιτρέπουν την ανάπτυξη εύχρηστων υπηρεσιών πληρωμών χαμηλού κινδύνου και θα πρέπει, συνεπώς, να προβλέπονται. Σκόπιμο είναι επίσης να προβλεφθεί εξαίρεση για την περίπτωση της διενέργειας έναρξης πράξεων πληρωμής ηλεκτρονικά σε μη στελεχωμένα τερματικά όπου δεν είναι πάντοτε εύκολο ενδεχομένως να γίνει χρήση της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη για λειτουργικούς λόγους (π.χ., για να αποφευχθούν οι ουρές και πιθανά ατυχήματα στους σταθμούς διοδίων ή για άλλους κινδύνους που σχετίζονται με την ασφάλεια ή την προστασία). (12) Ομοίως προς την εξαίρεση για ανέπαφες πληρωμές μικρής αξίας στο σημείο πώλησης, είναι αναγκαίο να επιτευχθεί η κατάλληλη ισορροπία ανάμεσα στο συμφέρον για την ενίσχυση της ασφάλειας των εξ αποστάσεως πληρωμών και στις ανάγκες για εύχρηστες και προσβάσιμες πληρωμές στον τομέα του ηλεκτρονικού εμπορίου. Σε EL 8 EL
συμφωνία με αυτές τις αρχές, θα πρέπει να καθορίζονται με σύνεση τα όρια κάτω από τα οποία δεν απαιτείται η εφαρμογή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, έτσι ώστε να καλύπτονται μόνο οι ηλεκτρονικές αγορές μικρής αξίας. Με ακόμη μεγαλύτερη σύνεση θα πρέπει να καθορίζονται τα κατώτατα όρια για τις ηλεκτρονικές αγορές, λαμβάνοντας υπόψη ότι η μη φυσική παρουσία του προσώπου κατά την πραγματοποίηση της αγοράς ενέχει ελαφρώς μεγαλύτερο κίνδυνο ασφάλειας. (13) Οι απαιτήσεις αυστηρής εξακρίβωσης της ταυτότητας του πελάτη εφαρμόζονται στις πληρωμές των οποίων η έναρξη διενεργείται από τον πληρωτή, ανεξάρτητα από το αν ο πληρωτής είναι φυσικό πρόσωπο ή νομική οντότητα. Η έναρξη πολλών εταιρικών πληρωμών διενεργείται μέσω ειδικών διαδικασιών ή πρωτοκόλλων που διασφαλίζουν τα υψηλά επίπεδα ασφάλειας πληρωμών τα οποία επιδιώκει να επιτύχει η οδηγία (ΕΕ) 2015/2366 μέσω της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη. Όταν οι αρμόδιες αρχές κρίνουν ότι αυτές οι διαδικασίες και τα πρωτόκολλα πληρωμής που διατίθενται μόνο σε πληρωτές οι οποίοι δεν είναι καταναλωτές επιτυγχάνουν τους στόχους της οδηγίας (ΕΕ) 2015/2366 ως προς την ασφάλεια, οι πάροχοι υπηρεσιών πληρωμών δύνανται να εξαιρούνται, σε σχέση με τις εν λόγω διαδικασίες και πρωτόκολλα, από τις απαιτήσεις περί αυστηρής εξακρίβωσης της ταυτότητας του πελάτη. (14) Στην περίπτωση ανάλυσης κινδύνου συναλλαγής σε πραγματικό χρόνο βάσει της οποίας μια πράξη πληρωμής κατατάσσεται στην κατηγορία χαμηλού κινδύνου, είναι επιπλέον σκόπιμο να θεσπιστεί εξαίρεση για τον πάροχο υπηρεσιών πληρωμών που δεν σκοπεύει να εφαρμόσει αυστηρή εξακρίβωση της ταυτότητας του πελάτη μέσω της υιοθέτησης αποτελεσματικών απαιτήσεων συναρτήσει του κινδύνου η οποία να εγγυάται την ασφάλεια των κεφαλαίων και των προσωπικών δεδομένων του χρήστη υπηρεσιών πληρωμών. Οι εν λόγω απαιτήσεις συναρτήσει του κινδύνου θα πρέπει να λαμβάνουν υπόψη τους συνδυαστικά τα βαθμολογικά αποτελέσματα της ανάλυσης κινδύνου, που επιβεβαιώνουν ότι δεν εντοπίζεται μη συνηθισμένη χρέωση ή μη συνηθισμένη συμπεριφορά του πληρωτή, μαζί με άλλους παράγοντες κινδύνου όπως, μεταξύ άλλων, πληροφορίες για την τοποθεσία του πληρωτή και του δικαιούχου με κατώτατα χρηματικά όρια βάσει ποσοστών απάτης τα οποία υπολογίζονται για εξ αποστάσεως πληρωμές. Όταν, βάσει της ανάλυσης κινδύνου συναλλαγής σε πραγματικό χρόνο, μια πληρωμή δεν μπορεί να θεωρηθεί ότι συνιστά κίνδυνο χαμηλού επιπέδου, ο πάροχος υπηρεσιών πληρωμών θα πρέπει να επαναφέρει τη διαδικασία αυστηρής εξακρίβωσης της ταυτότητας του πελάτη. Η μέγιστη αξία μιας τέτοιας εξαίρεσης συναρτήσει του κινδύνου θα πρέπει να καθορίζεται με τρόπο που να διασφαλίζει πολύ χαμηλό αντίστοιχο ποσοστό απάτης, σε σύγκριση επιπλέον με τα ποσοστά απάτης επί του συνόλου των πράξεων πληρωμής του παρόχου υπηρεσιών πληρωμών, περιλαμβανομένων εκείνων των οποίων η γνησιότητα έχει εξακριβωθεί μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, εντός συγκεκριμένου χρονικού διαστήματος και σε κυλιόμενη βάση. (15) Με γνώμονα τη διασφάλιση της αποτελεσματικής επιβολής, οι πάροχοι υπηρεσιών πληρωμών που επιθυμούν να επωφεληθούν από τις εξαιρέσεις από την αυστηρή εξακρίβωση της ταυτότητας του πελάτη θα πρέπει να παρακολουθούν και να υποβάλλουν τακτικά στις αρμόδιες αρχές και στην Ευρωπαϊκή Αρχή Τραπεζών (ΕΑΤ), κατόπιν αιτήματός τους, για κάθε τύπο πράξης πληρωμής, την αξία των δόλιων ή μη εγκεκριμένων πράξεων πληρωμών και τα παρατηρηθέντα ποσοστά απάτης για όλες τις πράξεις πληρωμής τους, ανεξάρτητα από το αν η γνησιότητά τους EL 9 EL
εξακριβώνεται μέσω αυστηρής εξακρίβωσης της ταυτότητας του πελάτη ή αν εκτελούνται δυνάμει συναφούς εξαίρεσης. (16) Η συλλογή αυτών των νέων ιστορικών αποδεικτικών στοιχείων για τα ποσοστά απάτης των πράξεων ηλεκτρονικής πληρωμής θα συμβάλει επίσης στην αποτελεσματική επανεξέταση από την ΕΑΤ των κατώτατων ορίων εξαίρεσης από την αυστηρή εξακρίβωση της ταυτότητας του πελάτη βάσει ανάλυσης κινδύνου συναλλαγής σε πραγματικό χρόνο. Η ΕΑΤ θα πρέπει να επανεξετάζει και να υποβάλλει στην Επιτροπή επικαιροποιημένα σχέδια των παρόντων ρυθμιστικών τεχνικών προτύπων υποβάλλοντας, εφόσον απαιτείται, σχέδια των νέων κατώτατων ορίων και των αντίστοιχων ποσοστών απάτης με γνώμονα την ενίσχυση της ασφάλειας των ηλεκτρονικών πληρωμών εξ αποστάσεως, σύμφωνα με το άρθρο 98 παράγραφος 5 της οδηγίας (ΕΕ) 2015/2366 και με το άρθρο 10 του κανονισμού (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 2. (17) Στους παρόχους υπηρεσιών πληρωμών που χρησιμοποιούν οποιαδήποτε από τις προς θέσπιση εξαιρέσεις θα πρέπει να παρέχεται ανά πάσα στιγμή η δυνατότητα να επιλέξουν να εφαρμόσουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη στις ενέργειες και τις πράξεις πληρωμής που αναφέρονται στις προαναφερόμενες διατάξεις. (18) Τα μέτρα που προστατεύουν την εμπιστευτικότητα και την ακεραιότητα των εξατομικευμένων διαπιστευτηρίων ασφαλείας, καθώς και των συσκευών και των λογισμικών εξακρίβωσης, θα πρέπει να περιορίζουν τους κινδύνους που συνδέονται με περιπτώσεις απάτης μέσω μη εγκεκριμένης ή δόλιας χρήσης μέσων πληρωμών και μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς πληρωμών. Για τον σκοπό αυτόν, είναι αναγκαίο να καθοριστούν απαιτήσεις για την ασφαλή δημιουργία και παράδοση των εξατομικευμένων διαπιστευτηρίων ασφαλείας και για τη συσχέτισή τους με τον χρήστη υπηρεσιών πληρωμών, και να προβλεφθούν προϋποθέσεις για την ανανέωση και απενεργοποίηση των εν λόγω διαπιστευτηρίων. (19) Προκειμένου να εξασφαλιστεί η αποτελεσματική και ασφαλής επικοινωνία μεταξύ των σχετικών φορέων στο πλαίσιο των υπηρεσιών πληροφοριών λογαριασμού, των υπηρεσιών εκκίνησης πληρωμών και της επιβεβαίωσης σχετικά με τη διαθεσιμότητα κεφαλαίων, είναι αναγκαίο να προσδιοριστούν οι απαιτήσεις των κοινών και ασφαλών ανοικτών προτύπων επικοινωνίας τα οποία πρέπει να πληρούν όλοι οι σχετικοί πάροχοι υπηρεσιών πληρωμών. Η οδηγία (ΕΕ) 2015/2366 προβλέπει την πρόσβαση των παρόχων υπηρεσιών πληροφοριών λογαριασμού στις πληροφορίες λογαριασμών πληρωμών και τη χρήση των πληροφοριών αυτών από τους εν λόγω παρόχους. Επομένως, ο παρών κανονισμός δεν επιφέρει τροποποιήσεις στους κανόνες πρόσβασης σε άλλους λογαριασμούς πέραν των λογαριασμών πληρωμών. (20) Κάθε πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού που διαθέτει λογαριασμούς πληρωμών προσβάσιμους ηλεκτρονικά θα πρέπει να παρέχει τουλάχιστον μία διεπαφή πρόσβασης που να επιτρέπει την ασφαλή επικοινωνία με τους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα. Η διεπαφή θα πρέπει να επιτρέπει στους παρόχους υπηρεσιών 2 Κανονισμός (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Νοεμβρίου 2010, σχετικά με τη σύσταση Ευρωπαϊκής Εποπτικής Αρχής (Ευρωπαϊκή Αρχή Τραπεζών), την τροποποίηση της απόφασης αριθ. 716/2009/ΕΚ και την κατάργηση της απόφασης 2009/78/ΕΚ της Επιτροπής (ΕΕ L 331 της 15.12.2010, σ. 12). EL 10 EL
πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα να ταυτοποιούνται στον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού. Θα πρέπει ακόμη να επιτρέπει στους παρόχους υπηρεσιών πληροφοριών λογαριασμού και στους παρόχους υπηρεσιών εκκίνησης πληρωμών να επαφίενται στις διαδικασίες εξακρίβωσης που παρέχει ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού στον χρήστη της υπηρεσίας πληρωμών. Προκειμένου να διασφαλιστεί η ουδετερότητα της τεχνολογίας και του επιχειρηματικού μοντέλου, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει να είναι ελεύθεροι να αποφασίζουν αν θα παρέχουν διεπαφή που θα χρησιμοποιείται μόνον για την επικοινωνία με τους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών, και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής, ή αν θα επιτρέπουν, όσον αφορά την εν λόγω επικοινωνία, τη χρήση της διεπαφής για την ταυτοποίηση των χρηστών υπηρεσιών πληρωμών των παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού και την επικοινωνία μαζί τους. (21) Προκειμένου να δοθεί η δυνατότητα στους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα να αναπτύξουν τις δικές τους τεχνικές λύσεις, οι τεχνικές προδιαγραφές της διεπαφής θα πρέπει να είναι επαρκώς τεκμηριωμένες και να διατίθενται στο κοινό. Επιπλέον, ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει να παρέχει λειτουργική δυνατότητα η οποία να επιτρέπει στους παρόχους υπηρεσιών πληρωμών να δοκιμάζουν τις τεχνικές λύσεις τουλάχιστον έξι μήνες πριν από την ημερομηνία εφαρμογής των παρόντων ρυθμιστικών προτύπων ή, εάν η διάθεση στην αγορά λαμβάνει χώρα μετά την ημερομηνία εφαρμογής των παρόντων προτύπων, πριν από την ημερομηνία διάθεσης της διεπαφής στην αγορά. Προκειμένου να διασφαλιστεί η διαλειτουργικότητα των διαφόρων τεχνολογικών λύσεων επικοινωνίας, η διεπαφή θα πρέπει να χρησιμοποιεί πρότυπα επικοινωνίας που έχουν αναπτυχθεί από διεθνείς ή ευρωπαϊκούς οργανισμούς τυποποίησης. (22) Η ποιότητα των υπηρεσιών που θα παρέχουν οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών θα εξαρτάται από την εύρυθμη λειτουργία των διεπαφών που θα θέσουν σε εφαρμογή ή θα προσαρμόσουν οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού. Είναι συνεπώς σημαντικό, σε περίπτωση μη συμμόρφωσης των εν λόγω διεπαφών με τις διατάξεις που περιλαμβάνονται στα παρόντα πρότυπα, να λαμβάνονται μέτρα για τη διασφάλιση της επιχειρησιακής συνέχειας προς όφελος των χρηστών των εν λόγω υπηρεσιών. Είναι ευθύνη των εθνικών αρμόδιων αρχών να διασφαλίζουν τη μη αναστολή ή τη μη παρακώλυση των υπηρεσιών που παρέχουν οι πάροχοι υπηρεσιών πληροφοριών λογαριασμού και οι πάροχοι υπηρεσιών εκκίνησης πληρωμών. (23) Όπου η πρόσβαση σε λογαριασμούς πληρωμών παρέχεται μέσω ειδικής διεπαφής, προκειμένου να διασφαλιστεί το δικαίωμα των χρηστών υπηρεσιών πληρωμών να χρησιμοποιούν τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τις υπηρεσίες πληροφοριών που επιτρέπουν την πρόσβαση σε πληροφορίες λογαριασμού, κατά τα προβλεπόμενα στην οδηγία (ΕΕ) 2015/2366, είναι αναγκαίο να απαιτείται από τις ειδικές διεπαφές να έχουν το ίδιο επίπεδο διαθεσιμότητας και επίδοσης με τη διεπαφή που διατίθεται στον χρήστη υπηρεσιών πληρωμών. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει επίσης να ορίσουν διαφανείς κύριους δείκτες επίδοσης και στόχους παροχής υπηρεσιών για τη διαθεσιμότητα και την επίδοση των EL 11 EL
ειδικών διεπαφών οι οποίοι να είναι τουλάχιστον εξίσου αυστηροί με τους δείκτες και τους στόχους της διεπαφής που χρησιμοποιούν για τους χρήστες υπηρεσιών πληρωμών τους. Οι ειδικές διεπαφές θα πρέπει να υποβάλλονται σε δοκιμές από τους παρόχους υπηρεσιών πληρωμών που θα τις χρησιμοποιούν, και θα πρέπει επιπλέον να υποβάλλονται σε προσομοιώσεις ακραίων καταστάσεων και να παρακολουθούνται από τις αρμόδιες αρχές. (24) Προκειμένου να διασφαλιστεί η συνεχής και αδιάλειπτη παροχή των υπηρεσιών που παρέχουν οι πάροχοι υπηρεσιών πληρωμών οι οποίοι βασίζονται στην ειδική διεπαφή σε περίπτωση προβλημάτων διαθεσιμότητας ή ανεπαρκούς επίδοσης, είναι αναγκαίο να εφαρμόζεται, υπό αυστηρές προϋποθέσεις, εφεδρικός μηχανισμός ο οποίος θα επιτρέπει στους εν λόγω παρόχους να χρησιμοποιούν τη διεπαφή που διατηρεί ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού για την ταυτοποίηση των δικών του χρηστών υπηρεσιών πληρωμών και την επικοινωνία μαζί τους. Ορισμένοι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα εξαιρούνται από την υποχρέωση εφαρμογής τέτοιου εφεδρικού μηχανισμού μέσω των διεπαφών τους αλληλεπίδρασης με τους πελάτες όταν οι αρμόδιες αρχές τους κρίνουν ότι οι ειδικές διεπαφές συμμορφώνονται με συγκεκριμένες προϋποθέσεις που διασφαλίζουν τον απρόσκοπτο ανταγωνισμό. Σε περίπτωση που οι εξαιρεθείσες ειδικές διεπαφές δεν συμμορφώνονται με τις απαιτούμενες προϋποθέσεις, οι οικείες αρμόδιες αρχές ανακαλούν τις χορηγηθείσες εξαιρέσεις. (25) Προκειμένου να είναι σε θέση οι αρμόδιες αρχές να εποπτεύουν και να παρακολουθούν αποτελεσματικά την εφαρμογή και τη διαχείριση των διεπαφών επικοινωνίας, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει να παρέχουν περίληψη της σχετικής τεκμηρίωσης που διατίθεται στον δικτυακό τους τόπο, και να υποβάλλουν, κατόπιν αιτήματος, στις αρμόδιες αρχές την τεκμηρίωση που αφορά τις λύσεις σε καταστάσεις έκτακτης ανάγκης. Οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θα πρέπει ακόμη να διαθέτουν στο κοινό τα στατιστικά στοιχεία για τη διαθεσιμότητα και την επίδοση των εν λόγω διεπαφών. (26) Προκειμένου να διασφαλιστεί η εμπιστευτικότητα και η ακεραιότητα των δεδομένων, είναι αναγκαίο να υπάρξει μέριμνα για την ασφάλεια των κύκλων επικοινωνίας ανάμεσα στους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, τους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών και τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα. Συγκεκριμένα, είναι αναγκαίο να απαιτείται η εφαρμογή ασφαλούς κρυπτογράφησης κατά την ανταλλαγή δεδομένων ανάμεσα στους παρόχους υπηρεσιών πληροφοριών λογαριασμού, τους παρόχους υπηρεσιών εκκίνησης πληρωμών, τους παρόχους υπηρεσιών πληρωμών που εκδίδουν μέσα πληρωμής με κάρτα και τους παρόχους υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού. (27) Για τη βελτίωση της εμπιστοσύνης των χρηστών και τη διασφάλιση της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, θα πρέπει να ληφθεί υπόψη η χρήση μέσων ηλεκτρονικής ταυτοποίησης και υπηρεσιών εμπιστοσύνης κατά τα προβλεπόμενα στον κανονισμό (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 3, συγκεκριμένα δε σε σχέση με τα κοινοποιημένα συστήματα ηλεκτρονικής ταυτοποίησης. 3 Κανονισμός (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Ιουλίου 2014, σχετικά με την ηλεκτρονική ταυτοποίηση και τις υπηρεσίες εμπιστοσύνης για τις EL 12 EL
(28) Προκειμένου να διασφαλιστεί η ευθυγράμμιση των ημερομηνιών εφαρμογής, ο παρών κανονισμός θα πρέπει να εφαρμοστεί από την ίδια ημερομηνία κατά την οποία τα κράτη μέλη οφείλουν να εφαρμόσουν τα μέτρα ασφαλείας που αναφέρονται στα άρθρα 65, 66, 67 και 97 της οδηγίας 2015/2366. (29) Ο παρών κανονισμός βασίζεται στα σχέδια ρυθμιστικών τεχνικών προτύπων που υπέβαλε η Ευρωπαϊκή Αρχή Τραπεζών (ΕΑΤ) στην Επιτροπή. (30) Η ΕΑΤ διεξήγαγε ανοικτές και διαφανείς δημόσιες διαβουλεύσεις σχετικά με τα σχέδια ρυθμιστικών τεχνικών προτύπων στα οποία βασίζεται ο παρών κανονισμός, ανέλυσε τα ενδεχόμενα συναφή κόστη και οφέλη και ζήτησε τη γνώμη της ομάδας τραπεζικών συμφεροντούχων, που συστάθηκε σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1093/2010. ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ: ΚΕΦΑΛΑΙΟ Ι ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ Άρθρο 1 Αντικείμενο Ο παρών κανονισμός καθορίζει τις απαιτήσεις προς τις οποίες οφείλουν να συμμορφώνονται οι πάροχοι υπηρεσιών πληρωμών για τον σκοπό της εφαρμογής μέτρων ασφαλείας που τους επιτρέπουν να πράττουν τα ακόλουθα: α) να εφαρμόζουν τη διαδικασία αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 της οδηγίας (ΕΕ) 2015/2366 β) να εφαρμόζουν τις εξαιρέσεις που προβλέπονται σε σχέση με την εφαρμογή των απαιτήσεων ασφαλείας της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, υπό συγκεκριμένες και περιορισμένες προϋποθέσεις που βασίζονται στο επίπεδο κινδύνου, στο ύψος του ποσού και την επανεμφάνιση της πράξης πληρωμής, καθώς και στον δίαυλο πληρωμής που χρησιμοποιήθηκε για την εκτέλεσή της γ) να προστατεύουν την εμπιστευτικότητα και την ακεραιότητα των εξατομικευμένων διαπιστευτηρίων ασφαλείας των χρηστών υπηρεσιών πληρωμών δ) να καθορίζουν κοινά και ασφαλή ανοικτά πρότυπα επικοινωνίας μεταξύ παρόχων υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού, παρόχων υπηρεσιών εκκίνησης πληρωμής, παρόχων υπηρεσιών πληροφοριών λογαριασμού, πληρωτών, δικαιούχων και άλλων παρόχων υπηρεσιών πληρωμών σχετικά με την παροχή και τη χρήση υπηρεσιών πληρωμών, κατ εφαρμογή του τίτλου IV της οδηγίας (ΕΕ) 2015/2366. ηλεκτρονικές συναλλαγές στην εσωτερική αγορά και την κατάργηση της οδηγίας 1999/93/ΕΚ (ΕΕ L 257 της 28.8.2014, σ. 53). EL 13 EL
Άρθρο 2 Γενικές απαιτήσεις εξακρίβωσης 1. Οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν μηχανισμούς παρακολούθησης συναλλαγών που τους επιτρέπουν να εντοπίζουν μη εγκεκριμένες ή δόλιες πράξεις πληρωμής, για τον σκοπό της εφαρμογής των μέτρων ασφαλείας που αναφέρονται στο άρθρο 1 στοιχεία α) και β). Οι εν λόγω μηχανισμοί βασίζονται στην ανάλυση πράξεων πληρωμής, λαμβάνοντας υπόψη στοιχεία τα οποία είναι αντιπροσωπευτικά του χρήστη υπηρεσιών πληρωμών υπό συνθήκες συνήθους χρήσης των εξατομικευμένων διαπιστευτηρίων ασφαλείας. 2. Οι πάροχοι υπηρεσιών πληρωμών διασφαλίζουν ότι οι μηχανισμοί παρακολούθησης συναλλαγών λαμβάνουν υπόψη, τουλάχιστον, όλους ανεξαιρέτως τους ακόλουθους παράγοντες συναρτήσει του κινδύνου: α) καταλόγους στοιχείων εξακρίβωσης των οποίων η ασφάλεια έχει τεθεί σε κίνδυνο ή τα οποία έχουν κλαπεί β) το ποσό κάθε πράξης πληρωμής γ) γνωστά σενάρια απάτης στον τομέα της παροχής υπηρεσιών πληρωμών δ) ενδείξεις προσβολής από κακόβουλο λογισμικό σε οποιοδήποτε στάδιο της διαδικασίας εξακρίβωσης ε) σε περίπτωση που η συσκευή ή το λογισμικό πρόσβασης παρέχεται από τον πάροχο υπηρεσιών πληρωμών, ημερολογιακή καταγραφή της χρήσης της συσκευής ή του λογισμικού πρόσβασης που παρέχεται στον χρήστη υπηρεσιών πληρωμών και της μη συνηθισμένης χρήσης της συσκευής ή του λογισμικού πρόσβασης. Άρθρο 3 Επανεξέταση των μέτρων ασφαλείας 1. Τα μέτρα ασφαλείας που εφαρμόζονται δυνάμει του άρθρου 1 τεκμηριώνονται, υποβάλλονται περιοδικά σε δοκιμές, αξιολογούνται και ελέγχονται, σύμφωνα με το ισχύον νομικό πλαίσιο του παρόχου υπηρεσιών πληρωμών, από ελεγκτές με εμπειρία στην ασφάλεια των συστημάτων πληροφορικής και στις πληρωμές, οι οποίοι είναι επιχειρησιακά ανεξάρτητοι από τον πάροχο υπηρεσιών πληρωμών ή στους κόλπους αυτού. 2. Το χρονικό διάστημα μεταξύ των ελέγχων που αναφέρονται στην παράγραφο 1 καθορίζεται λαμβάνοντας υπόψη το οικείο πλαίσιο λογιστικής και υποχρεωτικού ελέγχου που διέπει τον πάροχο υπηρεσιών πληρωμών. Πάντως, οι πάροχοι υπηρεσιών πληρωμών οι οποίοι κάνουν χρήση της εξαίρεσης που αναφέρεται στο άρθρο 18 υπόκεινται σε έλεγχο της μεθοδολογίας, του μοντέλου και των δηλωθέντων ποσοστών απάτης τουλάχιστον μία φορά ετησίως. Ο ελεγκτής που διενεργεί τον εν λόγω έλεγχο διαθέτει εμπειρία στην ασφάλεια των συστημάτων πληροφορικής και στις πληρωμές, και είναι επιχειρησιακά ανεξάρτητος από τον πάροχο υπηρεσιών πληρωμών ή στους κόλπους αυτού. Κατά τη διάρκεια του πρώτου έτους χρήσης της εξαίρεσης που προβλέπεται στο άρθρο 18 και τουλάχιστον κάθε τρία χρόνια εφεξής, ή συχνότερα κατόπιν αιτήματος της αρμόδιας αρχής, ο εν λόγω έλεγχος διενεργείται από ανεξάρτητο και εξειδικευμένο εξωτερικό ελεγκτή. EL 14 EL
3. Ο εν λόγω έλεγχος ολοκληρώνεται με αξιολόγηση της συμμόρφωσης των μέτρων ασφαλείας που εφαρμόζει ο πάροχος υπηρεσιών πληρωμών προς τις απαιτήσεις του παρόντος κανονισμού, και με την υποβολή συναφούς έκθεσης. Ολόκληρη η έκθεση διατίθεται στις αρμόδιες αρχές κατόπιν αιτήματός τους. EL 15 EL
ΚΕΦΑΛΑΙΟ ΙΙ ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΓΙΑ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΗΣ ΑΥΣΤΗΡΗΣ ΕΞΑΚΡΙΒΩΣΗΣ ΤΗΣ ΤΑΥΤΟΤΗΤΑΣ ΤΟΥ ΠΕΛΑΤΗ Άρθρο 4 Αναγνωριστικός κωδικός 1. Στις περιπτώσεις στις οποίες οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 παράγραφος 1 της οδηγίας (ΕΕ) 2015/2366, η εξακρίβωση της ταυτότητας βασίζεται σε δύο ή περισσότερα στοιχεία που αφορούν γνώση, κατοχή και κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη, και οδηγεί στη δημιουργία αναγνωριστικού κωδικού. Ο αναγνωριστικός κωδικός γίνεται δεκτός μία μόνο φορά από τον πάροχο υπηρεσιών πληρωμών, όταν ο πληρωτής χρησιμοποιεί τον αναγνωριστικό κωδικό για να έχει πρόσβαση στον λογαριασμό πληρωμών του διαδικτυακά, να διενεργήσει την έναρξη πράξης πληρωμής ηλεκτρονικά ή να εκτελέσει οιαδήποτε ενέργεια, μέσω εξ αποστάσεως διαύλου, η οποία μπορεί να ενέχει κίνδυνο απάτης στον τομέα των πληρωμών ή άλλων παραβιάσεων. 2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα ασφαλείας τα οποία διασφαλίζουν ότι πληρούνται όλες ανεξαιρέτως οι ακόλουθες απαιτήσεις: α) να μην είναι δυνατή η εξαγωγή καμίας πληροφορίας για οποιοδήποτε από τα στοιχεία που αναφέρονται στην παράγραφο 1 από τη δημοσιοποίηση του αναγνωριστικού κωδικού β) να μην είναι δυνατή η δημιουργία νέου αναγνωριστικού κωδικού με βάση τη γνώση οποιουδήποτε άλλου αναγνωριστικού κωδικού που έχει δημιουργηθεί παλαιότερα γ) να μην είναι δυνατή η πλαστογράφηση του αναγνωριστικού κωδικού. 3. Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η εξακρίβωση της ταυτότητας μέσω της δημιουργίας αναγνωριστικού κωδικού να περιλαμβάνει καθένα από τα ακόλουθα μέτρα: α) όταν η εξακρίβωση της ταυτότητας για πρόσβαση εξ αποστάσεως, ηλεκτρονικές πληρωμές εξ αποστάσεως και οιαδήποτε άλλη ενέργεια μέσω εξ αποστάσεως διαύλου, που μπορεί να ενέχει κίνδυνο απάτης στον τομέα των πληρωμών ή άλλων παραβιάσεων, δεν οδηγεί στη δημιουργία αναγνωριστικού κωδικού για τους σκοπούς της παραγράφου 1, δεν είναι εφικτό να προσδιοριστεί ποια από τα στοιχεία που αναφέρονται στην εν λόγω παράγραφο ήταν εσφαλμένα β) οι αποτυχημένες προσπάθειες εξακρίβωσης της ταυτότητας που μπορούν να πραγματοποιηθούν διαδοχικά εντός συγκεκριμένου χρονικού διαστήματος, μετά την ολοκλήρωση των οποίων επιβάλλεται προσωρινή ή μόνιμη φραγή στις ενέργειες που αναφέρονται στο άρθρο 97 παράγραφος 1 της οδηγίας (ΕΕ) 2015/2366, δεν υπερβαίνουν σε αριθμό τις πέντε γ) οι κύκλοι επικοινωνίας προστατεύονται έναντι της συλλογής δεδομένων εξακρίβωσης που διαβιβάζονται κατά την εξακρίβωση της ταυτότητας, καθώς EL 16 EL
και έναντι της χρησιμοποίησης από μη εξουσιοδοτημένα πρόσωπα, σύμφωνα με τις απαιτήσεις του κεφαλαίου V δ) ο μέγιστος χρόνος άνευ δραστηριότητας που έχει στη διάθεσή του ο πληρωτής, μετά την εξακρίβωση της ταυτότητάς του για τον σκοπό της πρόσβασης στον λογαριασμό πληρωμών του διαδικτυακά, δεν υπερβαίνει τα πέντε λεπτά. 4. Όταν η επιβολή της φραγής που αναφέρεται στην παράγραφο 3 στοιχείο β) είναι προσωρινή, η διάρκειά της και ο αριθμός των νέων προσπαθειών καθορίζονται με βάση τα χαρακτηριστικά της υπηρεσίας που παρέχεται στον πληρωτή και όλους τους σχετικούς συνεπαγόμενους κινδύνους, λαμβάνοντας υπόψη, τουλάχιστον, τους παράγοντες που αναφέρονται στο άρθρο 2 παράγραφος 2. Ο πληρωτής λαμβάνει ειδοποίηση προτού καταστεί μόνιμη η φραγή. Όταν η φραγή έχει καταστεί μόνιμη, προβλέπεται ασφαλής διαδικασία που επιτρέπει στον πληρωτή να μπορέσει να χρησιμοποιήσει εκ νέου τα μέσα ηλεκτρονικής πληρωμής στα οποία είχε επιβληθεί φραγή. Άρθρο 5 Δυναμική σύνδεση 1. Στις περιπτώσεις στις οποίες οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366, επιπροσθέτως των απαιτήσεων του άρθρου 4 του παρόντος κανονισμού, λαμβάνουν επιπλέον μέτρα ασφαλείας που πληρούν όλες ανεξαιρέτως τις ακόλουθες απαιτήσεις: α) ο πληρωτής ενημερώνεται για το ποσό της πράξης πληρωμής και για τον δικαιούχο β) ο αναγνωριστικός κωδικός που δημιουργείται αφορά συγκεκριμένα το ποσό της πράξης πληρωμής και τον δικαιούχο τον οποίον ενέκρινε ο πληρωτής κατά την έναρξη της συναλλαγής γ) ο αναγνωριστικός κωδικός τον οποίον κάνει δεκτό ο πάροχος υπηρεσιών πληρωμών αντιστοιχεί στο αρχικό συγκεκριμένο ποσό της πράξης πληρωμής και στην ταυτότητα του δικαιούχου τον οποίον ενέκρινε ο πληρωτής δ) τυχόν μεταβολή του ποσού ή του δικαιούχου συνεπάγεται την ακύρωση του δημιουργηθέντος αναγνωριστικού κωδικού. 2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα ασφαλείας τα οποία διασφαλίζουν την εμπιστευτικότητα, την αυθεντικότητα και την ακεραιότητα καθενός εκ των ακολούθων: α) του ποσού της συναλλαγής και του δικαιούχου σε όλα τα στάδια της εξακρίβωσης β) των πληροφοριών που εμφανίζονται στον πληρωτή σε όλα τα στάδια της εξακρίβωσης, περιλαμβανομένων της δημιουργίας, της διαβίβασης και της χρήσης του αναγνωριστικού κωδικού. 3. Για τον σκοπό της παραγράφου 1 στοιχείο β), και στις περιπτώσεις όπου οι πάροχοι υπηρεσιών πληρωμών εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, σύμφωνα με το άρθρο 97 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366, εφαρμόζονται οι ακόλουθες απαιτήσεις για τον αναγνωριστικό κωδικό: EL 17 EL
α) για πράξη πληρωμής με κάρτα σχετικά με την οποία ο πληρωτής έχει δώσει τη συγκατάθεσή του για το ακριβές ύψος του προς δέσμευση ποσού, σύμφωνα με το άρθρο 75 παράγραφος 1 της προαναφερθείσας οδηγίας, ο αναγνωριστικός κωδικός αφορά συγκεκριμένα το ποσό για τη δέσμευση του οποίου έδωσε τη συγκατάθεσή του ο πληρωτής και το οποίο ενέκρινε ο πληρωτής κατά την έναρξη της συναλλαγής β) για πράξεις πληρωμής σχετικά με τις οποίες ο πληρωτής έχει δώσει τη συγκατάθεσή του να εκτελεστεί σειρά πράξεων ηλεκτρονικής πληρωμής εξ αποστάσεως προς έναν ή περισσότερους δικαιούχους, ο αναγνωριστικός κωδικός αφορά συγκεκριμένα το συνολικό ποσό της σειράς πράξεων πληρωμής και τους ορισθέντες δικαιούχους. Άρθρο 6 Απαιτήσεις των στοιχείων που αφορούν γνώση 1. Οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα για τη μείωση του κινδύνου αποκάλυψης των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που αφορούν γνώση από μη εξουσιοδοτημένα πρόσωπα, ή δημοσιοποίησης των εν λόγω στοιχείων στα πρόσωπα αυτά. 2. Η χρήση των στοιχείων αυτών από τον πληρωτή υπόκειται σε μέτρα μείωσης των κινδύνων, προκειμένου να αποτραπεί η δημοσιοποίησή τους σε μη εξουσιοδοτημένα πρόσωπα. Άρθρο 7 Απαιτήσεις των στοιχείων που αφορούν κατοχή 1. Οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα για τη μείωση του κινδύνου χρήσης, από μη εξουσιοδοτημένα πρόσωπα, των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη που αφορούν κατοχή. 2. Η χρήση των στοιχείων αυτών από τον πληρωτή υπόκειται σε μέτρα αποτροπής της αντιγραφής τους. Άρθρο 8 Απαιτήσεις συσκευών και λογισμικών που συνδέονται με στοιχεία που αφορούν κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη 1. Οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα για τη μείωση του κινδύνου αποκάλυψης, από μη εξουσιοδοτημένα πρόσωπα, των στοιχείων εξακρίβωσης που αφορούν κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη, τα οποία αναγιγνώσκονται από συσκευές και λογισμικά πρόσβασης που παρέχονται στον πληρωτή. Κατ ελάχιστον, οι πάροχοι υπηρεσιών πληρωμών φροντίζουν να περιορίσουν στο ελάχιστο δυνατό την πιθανότητα να εξακριβωθεί κάποιο μη εξουσιοδοτημένο πρόσωπο ως πληρωτής, μέσω των εν λόγω συσκευών και λογισμικών πρόσβασης. 2. Η χρήση των στοιχείων αυτών από τον πληρωτή υπόκειται σε μέτρα που διασφαλίζουν εγγυημένα την ανθεκτικότητα των εν λόγω συσκευών και λογισμικών κατά της μη εγκεκριμένης χρήσης των στοιχείων, μέσω της πρόσβασης στις συσκευές και τα λογισμικά. EL 18 EL
Άρθρο 9 Ανεξαρτησία των στοιχείων 1. Οι πάροχοι υπηρεσιών πληρωμών μεριμνούν ώστε η χρήση των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, που αναφέρονται στα άρθρα 6, 7 και 8, να υπόκειται σε μέτρα τα οποία διασφαλίζουν ότι, από πλευράς τεχνολογίας, αλγορίθμων και παραμέτρων, η παραβίαση ενός εκ των στοιχείων δεν θέτει σε κίνδυνο την αξιοπιστία των υπόλοιπων στοιχείων. 2. Σε περίπτωση χρήσης μέσω συσκευής πολλαπλών χρήσεων οποιουδήποτε εκ των στοιχείων της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη ή του ίδιου του αναγνωριστικού κωδικού, οι πάροχοι υπηρεσιών πληρωμών λαμβάνουν μέτρα ασφαλείας για τη μείωση του κινδύνου που δύναται να προκύψει από ενδεχόμενη δόλια χρήση της συγκεκριμένης συσκευής πολλαπλών χρήσεων. 3. Για τους σκοπούς της παραγράφου 2, τα μέτρα μείωσης των κινδύνων περιλαμβάνουν όλα ανεξαιρέτως τα ακόλουθα: α) τη χρήση χωριστών ασφαλών περιβαλλόντων εκτέλεσης μέσω του εγκατεστημένου λογισμικού στη συσκευή πολλαπλών χρήσεων β) μηχανισμούς που διασφαλίζουν ότι το λογισμικό ή η συσκευή δεν έχουν υποστεί τροποποίηση από τον πληρωτή ή από τρίτο πρόσωπο γ) όπου έχουν επέλθει τροποποιήσεις, μηχανισμούς μείωσης των επιπτώσεών τους. ΚΕΦΑΛΑΙΟ ΙΙΙ ΕΞΑΙΡΕΣΕΙΣ ΑΠΟ ΤΗΝ ΑΥΣΤΗΡΗ ΕΞΑΚΡΙΒΩΣΗ ΤΗΣ ΤΑΥΤΟΤΗΤΑΣ ΤΟΥ ΠΕΛΑΤΗ Άρθρο 10 Πληροφορίες λογαριασμού πληρωμών 1. Οι πάροχοι υπηρεσιών πληρωμών επιτρέπεται να μην εφαρμόζουν αυστηρή εξακρίβωση της ταυτότητας του πελάτη, υπό την προϋπόθεση της συμμόρφωσης με τις απαιτήσεις του άρθρου 2 και της παραγράφου 2 του παρόντος άρθρου, όταν περιορίζεται η πρόσβαση του χρήστη υπηρεσιών πληρωμών διαδικτυακά σε κάποιο από ή σε αμφότερα τα ακόλουθα στοιχεία χωρίς δημοσιοποίηση ευαίσθητων δεδομένων πληρωμών: α) στο υπόλοιπο ενός ή περισσότερων καθορισμένων λογαριασμών πληρωμών β) στις πράξεις πληρωμής που εκτελέστηκαν τις τελευταίες 90 ημέρες μέσω ενός ή περισσότερων καθορισμένων λογαριασμών πληρωμών. 2. Για τον σκοπό της παραγράφου 1, οι πάροχοι υπηρεσιών πληρωμών δεν εξαιρούνται από την εφαρμογή της αυστηρής εξακρίβωσης της ταυτότητας του πελάτη, όταν πληρούται οιαδήποτε από τις ακόλουθες προϋποθέσεις : α) ο χρήστης υπηρεσιών πληρωμών έχει πρόσβαση διαδικτυακά στις πληροφορίες που προσδιορίζονται στην παράγραφο 1 για πρώτη φορά β) έχουν παρέλθει περισσότερες από 90 ημέρες από την τελευταία φορά που ο χρήστης υπηρεσιών πληρωμών είχε πρόσβαση διαδικτυακά στις πληροφορίες EL 19 EL